From owner-freebsd-questions@FreeBSD.ORG  Tue Jun 19 18:46:00 2012
Return-Path: <owner-freebsd-questions@FreeBSD.ORG>
Delivered-To: questions@FreeBSD.org
Received: from mx1.freebsd.org (mx1.freebsd.org [69.147.83.52])
	by hub.freebsd.org (Postfix) with ESMTP id D33FB1065670
	for <questions@FreeBSD.org>; Tue, 19 Jun 2012 18:46:00 +0000 (UTC)
	(envelope-from inc@rdmitry.name)
Received: from mx.nnt.ru (ma.nnt.ru [217.72.1.6])
	by mx1.freebsd.org (Postfix) with ESMTP id 23BF38FC15
	for <questions@FreeBSD.org>; Tue, 19 Jun 2012 18:45:59 +0000 (UTC)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=nnt.ru;
	s=nnt; 
	h=Content-Type:Subject:To:MIME-Version:From:Date:Message-ID;
	bh=hz7dyFtM5UeqFKPEXIV7yVrgdmcd+lAvnwD1UMPVawc=; 
	b=dRaPSTcg2OBvgAeH7E9J2D/e/cGQnPYiokYCJKmAGEPQvuPjm1qAKnpJ/lrizN6ZOF2BDoFkKDkK160u1GjRM4yo+lwQCkg8pgvtc8Tz+VSahRSbTs3+IxXIUDeuhxAU;
Received: from [217.72.2.66] (helo=adsh14.nnt)
	by mx.nnt.ru with esmtpa (Exim 4.71)
	(envelope-from <inc@rdmitry.name>) id 1Sh45P-0000zW-MO
	for questions@FreeBSD.org; Tue, 19 Jun 2012 23:27:36 +0400
Message-ID: <4FE0C909.1000304@rdmitry.name>
Date: Tue, 19 Jun 2012 22:46:33 +0400
From: Dmitry Reznichenko <inc@rdmitry.name>
User-Agent: Mozilla/5.0 (X11; OpenBSD i386;
	rv:9.0) Gecko/20120207 Thunderbird/9.0.1
MIME-Version: 1.0
To: questions@FreeBSD.org
X-Mailman-Approved-At: Tue, 19 Jun 2012 19:50:52 +0000
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
X-Content-Filtered-By: Mailman/MimeDel 2.1.5
Cc: 
Subject: Question about GEOM_ELI` root partition automount
X-BeenThere: freebsd-questions@freebsd.org
X-Mailman-Version: 2.1.5
Precedence: list
List-Id: User questions <freebsd-questions.freebsd.org>
List-Unsubscribe: <http://lists.freebsd.org/mailman/listinfo/freebsd-questions>, 
	<mailto:freebsd-questions-request@freebsd.org?subject=unsubscribe>
List-Archive: <http://lists.freebsd.org/pipermail/freebsd-questions>
List-Post: <mailto:freebsd-questions@freebsd.org>
List-Help: <mailto:freebsd-questions-request@freebsd.org?subject=help>
List-Subscribe: <http://lists.freebsd.org/mailman/listinfo/freebsd-questions>, 
	<mailto:freebsd-questions-request@freebsd.org?subject=subscribe>
X-List-Received-Date: Tue, 19 Jun 2012 18:46:00 -0000

{ # (Russian lang, ORIGINAL)

Имеется::
1) Загружаемая некриптованная партиция /boot со скриптами ядра 
9.0-release и самим ядром;
2) Криптованная только файл-ключом (ключ лежит сейчас в (1)/boot ) 
рутовая партиция со всем своим содержимым.

Проблема:
При загрузке криптованая партиция сама монтируется, но ключ открытым 
лежит. Нужно именно по ключу, не по паролю (площадка провайдера).

Надо:
Как - то сделать так, что бы ключ был скрыт, не очевиден.

Думаю, можно какой-то из исходников изменить, дописать часть кода, 
например у /boot/loader , так, что бы он сам создавал временно файл 
ключика, а после монтирования ключик затирал секурно (dd в файл ключа).

Я на си ещё не програмил, сответственно и вопрос: хотя бы какой файл в 
исходниках ковырять, в какой части файла? Может быть код даже подскажите?

P.S. Я такую штуку для линукса уже придумал и сделал, но там проще, т.к. 
initrd-image можно разархивировать и легко корректировать.

}

{ # (ENG, translated not so good)

What we have now (FreeBSD 9.0-release):
1) /boot partition, uncrypted, with it`s boot scripts, kernel and so on;
2) crypted root partition (geli init -s 4096 -P -K /root/keyfile 
/dev/adXX), without password but with key; that partition have all its 
freebsd content.
     The keyfile located now in (1)/boot.

The problem need to solve:
Need have end system, when keyfile when boot will be created 
automatically, and erased securelly just after root crypto` partition 
mounts (by dd with of=keyfile, for example)
That need to do because freebsd have remote hosting.

Needs:
To make key not (at least EASELY!) catched by unautorised personnel, and 
noone cat pass password there after reboot or power fail/restore cases.

Maby you can give me tip, what pard of src (and maby how, maby 
/boot/loader src) need to change?

P.S. I solve same with linux box, but there i can extract already 
working initrd.img, change in by adding binary program which make their 
work, and make new initrd.img

}

I hope, you will can help me with it, thanks in advance!

btw i don`t power user oc C language :)